среда, 30 августа 2017 г.

Форум "Цифровая экономика" в Екатеринбурге



28 сентября текущего года в г. Екатеринбург при поддержке Министерства транспорта и связи Свердловской области и разработчика отечественной операционной системы Astra Linux АО «Научно-производственное объединение РусБИТех» (г. Москва). пройдёт окружной форум «Цифровая экономика – технологически независимое будущее России».
Форум имеет прикладную направленность и посвящён вопросам практической реализации государственной политики в сфере импортозамещения программного обеспечения и конкретным шагам по формированию цифровой экономики.
В рамках Форума будут представлены решения на базе российской операционной системы Astra Linux, готовые к промышленной эксплуатации.
К участию в Форуме приглашены представители органов государственной и исполнительной власти Уральского федерального округа, органов муниципального управления, представители силовых структур, оборонно-промышленного комплекса, промышленных холдингов, представители средств массовой информации.
В настоящее время участие в Форуме подтвердили следующие компании: АО «НПО «РусБИТех», ИнфоВотч-Урал, ОАО «ICL-КПО ВС», ГК ТОНК, StaffCop, МойОфис, SАР, ГК Бастион, Аладдин, RTSoft, 1С, НПО «Эшелон», НПК Пеленгатор, Диасофт, ОАО «ИнфоТеКС», ОАО «Т-Платформы», Компания «Праймтек» и другие.
В программе Форума предусмотрены не только доклады представителей компаний, но и демонстрация комплексных решений на российской операционной системе Astra Linux на стендах.
Приглашаем принять участие в работе Форума.
Регистрация на Форум - на сайте мероприятия http://uraltechforum.ru/

вторник, 9 августа 2016 г.

Почему Astra Linux называется специальная?

Для понимания.
Astra Linux - дистрибутив, которые предназначен именно для защиты информации. То есть у него есть целевая задача. А когда мы ставим задачу, что появляется специальный инструмент для её выполнения.
Весь функционал по защите информации реализован в специальной редакции Astra Linux - Special Edition.
Из-за подчинённости своей задаче, ALSE не может быть абсолютно универсальным дистрибутивом.
Поэтому Astra Linux Special Editon (ALSE) - так и называется: «операционная система специального назначения», или, кратко, ОС СН, то есть для выполнения специальных функций, а именно, обеспечения защиты информации.
Для выполнения более широкого круга задач, где не требуется защита информации, но требуется оказание технической поддержки вендором, существует Astra Linux Common Edition, которая является системой общего назначения и может использоваться для выполнения широкого круга задач.
Кстати, Astra Linux Common Edition - практически единственный свободно распространяемый дистрибутив в России, по которому можно официально заключить договор на оказание технической поддержки.

четверг, 21 января 2016 г.

Astra Linux и критическая уязвимость в ядре Linux.

На днях интернет заполнился новостями об обнаружнии критической уязвимости в ядре Linux, находящейся там ещё с 2012 года:


Вот лишь малая часть таких публикаций:

Уязвимость ядра Linux ставит под удар миллионы пользователей Android 

В ядре Linux обнаружена уязвимость, позволяющая поднять привилегии в системе

Для проверки устойчивости Astra Linux Special Edition 1.4 к данной уязвимости, мною было решено попробовать данный эксплоит в отчечественной защищённой системе.

Эксплоит взят по данной ссылке.

Компилировать пришлось на другой машине, поскольку в базовый дистрибутив Astra Linux средства разработки и компилятор не входят (было бы странно, если бы они присутствали на защищённом объекте).

Затем в Astra Linux Special Edition пришлось выключить замкнутую программную среду, что бы разрешить системе запускать неподписанные бинарники.

Понятно, что такими действиями мы сами серьёзным образом нарушаем защиту системы, но должны же мы хоть как-то проверить эксплоит :)

Эксплоит был скомпилирован со следующими параметрами:

gcc cve_2016_0728.c -o cve_2016_0728 -lkeyutils -Wall

Затем через файлообменник скомпилированный эксплоит был передан на машину с Astra Linux Special Edition 1.4 и помещён в каталог /tmp, поскольку запуск из раздела домашнего пользователя исполняемых файлов запрещён.

 В Astra Linux Special Edition в поставке имеется два типа ядра: generic и pax

Pax-ядро, по идее, должно быть более защищённым по отношению именно к эксплоитам, поскольку существенным образом ограничивает права программ по запуску некорркетного исполняемого кода.

Итак, решено проверить оба ядра, что и было сделано.

Первым на проверку ушло ядро generic:


Как мы видим, эксплоит отработал до конца, однако повысить права пользователя не удалось, поскольку сработала система защиты, в результате чего пользователь принудительно оказался в упрощённой оболочке sh с прежними правами.

Далее я проверил на данную уязвимость ядро pax:


Как мы видим, pax ядро не стало церемониться с данным эксплоитом и просто убило его, как только программа выполнила некорректную инструкцию (примерно через минут 25 после запуска).

Таким образом, можно констатировать, что релиз 1.4, выпущенный в начале 2015 года устойчив к актуальным уязвимостям в ядре Linux (обнаруженным только в 2016 году), во многом благодаря своей встроенной системе защиты.

Понятно, что на по настоящему защищённых объектах даже запустить в Astra Linux Special Edition такой эксплоит - уже большая проблема, в условиях замкнутой программной среды, где каждый исполняемый файл должен быть подписан доверенным ключом.

Но даже сознательно отключив эту защиту, мы не смогли получить доступ к правам суперпользователя.

Дополнительно стоит отметить правильность подхода разработчиков Astra Linux в применении ядра с патчем pax, который существенным образом повышает защищённость системы.

Видеоподкасты по Astra Linux

Канал Astra Linux SE пополнился двумя неплохими видеоподкастами по Astra Linux Special Edition (релиз Смоленск, 1.4).


понедельник, 14 декабря 2015 г.

Настройка МФУ Samsung Xpress M2070W в Astra Linux

Пошаговая инструкция по подключению беспроводного доступа к МФУ Samsung Xpress M2070W в Astra Linux.

Настройка осуществлялась в Astra Linux Common Edition версия 1.10.7 (Орел).

1. Необходимо скачать архив с установочными скриптами с сайта Самсунг (скачать), либо с яндекс-диска (скачать).

 2. Распаковать архив во временную папку и запустить скрипты install-printer.sh и install-scanner.sh. Скрипты должны запускаться правами администратора. Для этого необходимо поочерёдно выполнить эти команды из каталога с распакованным архивом:

sudo ./install-printer.sh
sudo ./install-scanner.sh

3. Для того, что бы добавить принтер в систему, пользователь должен быть включён в группу lpadmin.

Для этого запустите утилиту управления политиками безопасности fly-admin-cms (Пуск - Настройки - Панель управления - Безопасность):


 Затем выберете нужного пользователя и добавьте его в группу lpadmin, как показано на скриншоте:



После чего сохраните внесённые изменения.


4. После этого можно добавить наш принтер через утилиту fly-admin-printer (Пуск-Настройки-Принтеры).

Выбираем в меню программы Принтер - Добавить или нажимаем на соответствующую иконку на панели:



Выбираем "Новый принтер":


Затем вводим имя и пароль пользователя, которого выше добавили в группу lpadmin:




При этом на компьютере должен быть включён wi-fi, принтер тоже должен быть готов к обнаружению. После ввода имени и пароля система должна обнаружить принтер по wi-fi:


Я выбрал самый первый вариант - подключение по ip адресу. Нажимаем Далее.

На следующем этапе установки нам необходимо указать местонахождение файла ppd для нашего принтера, который был установлен во время работы скрипта.


 Нажимаем кнопку для добавления драйвера принтера:



Нужный нам файл теперь находится по адресу: /usr/share/ppd/uld-samsung

Выбираем нужный нам файл:



После чего нажимаем кнопку Завершить.

Принтер готов к использованию:


Дополнительная настройка сканера не требуется, сканер доступен через утилиты fly-scan или xscanimage:


Для доступа к сканеру через графический редактор Gimp необходимо установить пакет xsane:



 Настройка завершена.

вторник, 10 ноября 2015 г.

Подключение совместимого репозитория Debian в Astra Linux CE 1.10.5 orel (Астра Linux Орёл)

На днях пришлось поднимать Astra Linux CE 1.10.5 orel

Их репозиторий очень скудный. Решил подключить cовместимый репозиторий Debian. Ниже буквально два слова об этом. А так же ссылка на установку не свободного драйвера Nvidia в Astra Linux.

Два слова об Astra Linux CE 1.10.5 orel (Астра Linux Орёл)
Точнее о репозитории Debian, который можно использовать для Астры.
Для версии 1.10.5 Орёл соответствует репозиторий Debian-7 Wheezy.

Т.е. /etc/apt/source.list в Astra Linux CE 1.10.5 orel может выглядеть вот так:

#OS Astra Linux 1.10.5 orel - amd64
deb ftp://mirror.yandex.ru/astra/current/orel/repository/ orel main contrib non-free

# Debian wheezy
deb http://ftp.debian.org/debian wheezy main contrib non-free

# Multimedia Wheezy
deb http://www.deb-multimedia.org wheezy main non-free

Прописываем в source.list

Открываем консоль.
Командуем

sudo -i

За тем командуем так:

cat > /etc/apt/source.list<<EOF
deb ftp://mirror.yandex.ru/astra/current/orel/repository/ orel main contrib non-free
deb http://ftp.debian.org/debian wheezy main contrib non-free
deb http://www.deb-multimedia.org wheezy main non-free
EOF

После этого нужно установить ключи репозитория.
Пакет с ключами качаем так:

wget http://ftp.ru.debian.org/debian/pool/main/d/debian-archive-keyring/debian-archive-keyring_2014.3~deb7u1_all.deb
wget http://www.deb-multimedia.org/pool/main/d/deb-multimedia-keyring/deb-multimedia-keyring_2015.6.1_all.deb

Устанавливаем

dpkg -i ./debian-archive-keyring_2014.3~deb7u1_all.deb ./deb-multimedia-keyring_2015.6.1_all.deb

После установки обновляем список пакетов скомандовав:

apt-get update

Всё! Можно пользоваться в Astra Linux совместимым репозиторием Debian.

Источник: http://www.sakryukin.ru/?module=articles&c=articles&b=8&a=45

ГУП «Крымтехнологии» запустило демонстрационный стенд с «Астра Линукс»


ГУП «Крымтехнологии» запустило демонстрационный стенд с защищённой отечественной операционной системой «Астра Линукс» и тонким клиентом. Отметим, что это готовая инфраструктура полного импортозамещения для госсектора.
Тот самый тонкий клиент (справа от монитора).
На рабочем совещании представители материковых «РусБИТех», ОАО МПО «Эшелон», ОАО «Актив Софт», ОАО «TONK» и крымских ФГУП «Гамма» и ГУП «Крымтехнологии» обсуждали требования к инфраструктуре и защите информации. По словам Юрия Петренко, замдиректора «Крымтехнологии», крымские чиновники «пересядут» с системного блока на тонкий клиент (у которого отсутствует жёсткий диск для хранения информации), а периферия останется прежней – монитор, клавиатура и мышь. Петренко подчёркивает, что это рациональный переход, который позволяет экономить на аттестации и администрировании ПК.

– Этот демо-стенд станет первым крымским музеем терминальной фабрики, – рассказывает Юрий Петренко. – Мы будем приглашать представителей региональных органов власти, чтобы продемонстировать, как на старом «железе» можно получить современное быстродействие. С помощью тонкого клиента, связанного с удалённым сервером, компьютер с начинкой 8‑летней давности может работать, как компьютер сегодняшнего дня.
Справка «Газеты»
 
Несмотря на то, что в Крыму нет унаследованных информационных систем и всё строится с нуля, прогнозы представителя «РусБИТех» Михаила Орешина, презентовавшего «Астра Линукс», вполне оптимистичны. Он считает, что полуостров в области госуслуг будет развиваться «гораздо быстрее, чем в других регионах России»:
– Полуостров, как и вся Россия, находится в специфичной ситуации: введённые санкции и курс на защиту информации. Именно поэтому здесь были продемонстрированы решения, построенные на российском аппаратном и программном обеспечении. Наша цель – создать информационную систему на российском ПО, которой будут пользоваться все крымчане. На сегодняшний день мы заложили фундамент будущей системы, обсудили инфраструктуру и приняли основную концепцию. На этом можно строить безопасные решения для крымского госсектора.

Михаил Орешин не считает крымский it-сектор депрессивным, о чём часто говорят наши айтишники, напротив, за последние полгода он увидел «очень положительную динамику»: если в июне не было известно никаких технических требований к разработке инфраструктуры для госсектора, то сейчас заложена база для становления и МФЦ (портал государственных услуг), и геоинформационных систем, и СМЭВ (единая система межведомственного электронного взаимодействия).